哪种技术才是最适合你们的–亦或二者皆可? 在大企业里,往往有来自各个方面的安全考虑和监管压力,迫使你不得不处理来自网络、安全设备、数据库以及应用程序的大量数据。通常,这个数据量都不是你的网管人员、安全顾问(compliance staff) 以及安全分析师所能应付得过来的。 小公司没有这么多的数据,相关的工作量也小得多–网络管理员可能同时还得客串安全管理员。但是,你很可能还要操心PCI-DSS、HIPAA甚至是二者兼顾。
中等规模的公司则介于以上二者之间。 在高端领域, SIEM工具曾象征着跨部门、跨地区、跨国家的复杂安全需求。那些组织有足……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
哪种技术才是最适合你们的--亦或二者皆可?
在大企业里,往往有来自各个方面的安全考虑和监管压力,迫使你不得不处理来自网络、安全设备、数据库以及应用程序的大量数据。通常,这个数据量都不是你的网管人员、安全顾问(compliance staff) 以及安全分析师所能应付得过来的。
小公司没有这么多的数据,相关的工作量也小得多--网络管理员可能同时还得客串安全管理员。但是,你很可能还要操心PCI-DSS、HIPAA甚至是二者兼顾。中等规模的公司则介于以上二者之间。
在高端领域, SIEM工具曾象征着跨部门、跨地区、跨国家的复杂安全需求。那些组织有足够的财力来购买和维护SIEM。随着监管压力的增大,SIEM产品的市场需求和其它产品一样在不断扩大。
日志管理与之有些区别。一些要求不是那么高的大大小小的单位只会在碰到突发事件、对网络进行诊断或操作时才深入分析他们的日志。PCI-DSS、GLBA、HIPAA以及SOX这些标准改变了这一切,标准要求公司必须将各种系统和应用程序的日志数据保存长达七年,并且还得经常监视它们(通常至少每天一次),并且,还得在审计员(auditor)面前当场演示这一切直到他满意为止。
这对原来冷冷清清的日志管理软件市场来说是个意外契机。很多专门做这个的厂商赚到的钱是他们之前想都不敢想的。SIEM厂商也很快就发现了这个商机,及时改进了他们日志管理产品。好几家主要的SIEM厂商都开发了他们自己的日志管理工具,从以前他们忽略的市场里获取了不少利润。
与此同时,领先的日志管理厂商也加紧开发,给他们的日志管理产品里加入了先进的数据分析和实时检测能力,这使得使得他们的日志管理产品跟SIEM越来越像。有一家厂商直接就把他们公司在这方面的开发称为“轻量化SIM”
相同却又不同
究竟哪种技术对你来说是最合适的?这可能是最让人难以抉择的。如果你已经部署了SIEM,那么它是否已经足够应付你们当前的日志管理需求, 是不是还有必要另外采用专门的工具?如果你两种产品都还没买,那选购哪种呢?或者有没有必要两种都一起买呢?
Matt White是一家大型零售商的信息安全工程师,同时也是SenSage的客户,他介绍说:”大概在2005年,我们为了达到PCI标准,开始在SIM和日志管理产品里寻找我们想要的。其实那时候我们自己都不知道到底想要的是什么样的产品,到底是SIM,还是数据库报告工具,还是日志管理产品。“
这种迷茫并不奇怪。一家大型的SIEM厂商承认他们确实在发现这个需求上慢了一步,他们的推销员反应数年前潜在客户需要的就是日志管理功能。最开始他们还认为是推销员在推销SIEM产品上水平不够。经过数个月后,他们才认识到这个情况。
从根本上来说,不管是日志管理还是SIEM工具,实现的都是差不多的功能。它们都是从不同的分立设备上采集日志并集中存储到档案库里,并且对这些日志数据格式进行标准化,因而用户可以在所有数据上执行查询操作。
不过在目标和架构上,二者还是有些区别。日志管理工具主要是着眼于一些关键的策略和规范的需要。如果没有它们,那真会让人痛苦不堪:你的IT和安全人员必须一个一个地去检查每个系统和应用程序,各个系统也基本上不可能联系到一起。集中存储是最主要的麻烦。不断地监视安全性和操作也不是什么有意思的事情。
SIEM则侧重于对各种安全威胁的实时监测,从外部的Dos攻击到内部人员滥用敏感信息。
General Dynamics Information Technology的产品经理Bill Garner说:”当你们从使用日志工具转换数据变成实时进行数据关联、实时事件响应时,你们就该考虑换用SIM工具了,因为稽核记录(auditing log)并不能提供实时响应能力。”
General Dynamics公司使用同时使用了ArcSight的日志工具Logger和SIEM产品,ESM。他们这个决定不是随便作出的。SIEM产品一般是处在一个比日志管理更高的层次上,并且通常需要用它对数据进行复杂的算法和分析。这对于实时分析和检测来说是很合适的,但是如果要用它来处理那些按照安全标准经年累月积累的原始日志数据,就有点勉为其难了。
“它们之间的分界线是在采集和存储功能之后,关联和数据分析功能之前,”赛门铁克高级产品经理 Todd Zambrovitz说。“SIEM工具能大大丰富日志数据,它可以在采集过程中把数据转换成可供快速获取和操作的格式。”
当你公司逐渐壮大后,这种需求就会变得越来越强烈。大公司通常受许多标准的约束,并且树大招风,容易成为攻击者眼中的肥肉。他们有片上系统(SOC)来全天候监测网络攻击和异常,并且有事故响应小组能马上处理。
小公司则更倾向于事后检查以发现问题。因此基本的日志管理功能,加上一定的日志审查功能,就可以满足了。
不过由于大企业防范得很好,小公司也有可能更容易成为攻击目标。因此他们不应将SIEM完全排除在外,或者他们可以考虑选用带有一些基本实时警报能力的日志管理产品。中等规模的企业就真是又有点左右为难了,他们所碰到的很多安全问题往往和那些大公司的差不多。
作者
翻译
相关推荐
-
Azure Sentinel增加AI驱动SIEM以加强云安全
微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]
-
云时代:“SIEM即服务”,你怎么看?
向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。
-
SIEM功能如何用于实时分析?
很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……
-
QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁
IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。